前言介紹
- 這款 WordPress 外掛「HTTP Digest Authentication」是 2013-10-15 上架。
- 目前有 10 個安裝啟用數。
- 上一次更新是 2017-11-25,距離現在已有 2715 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 3.1.0 以上版本才可以安裝。
- 有 5 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
jesin |
外掛標籤
auth | login | hacking | http digest | authenticate |
內容簡介
此外掛使用 PHP header() 函數為 wp-login.php 頁面添加額外的保護層,使用 HTTP Digest Authentication。因此,它不需要像.htaccess 或者 .htdigest 這樣配置網絡服務器文件,可適用於所有網頁主機環境。
重要提醒:如您已經安裝使用 HTTP 驗證的其他外掛,請在啟用此外掛之前先停用,或者在使用此外掛之前請刪除您已經在 web 伺服器上對 wp-login.php 文件進行的 HTTP 驗證。
如果您正在使用 FastCGI PHP,此外掛在您輸入正確的憑證時可能會持續提示輸入帳號和密碼,此時,請在您的 .htaccess 文件中添加以下代碼:
SetEnvIfNoCase ^Authorization$ "(.+)" PHP_AUTH_DIGEST=$1
HTTP Digest Authentication 的優點
HTTP Digest Authentication 比起使用可以透過base64解碼器很容易解碼出來的 HTTP Basic Authentication 還要更為安全。
當使用服務端點供給靜態資源時,HTTP Basic Authentication 不能防止未授權的訪問(如未驗證下載),而此外掛就可以支持此功能。
HTTP Digest Authentication 可以使用MD5加密機制,使其成為“單向”加密。
使用服務器和客戶端Nonce(隨機數據串,以作為單次隨機數據使用)防止重放攻擊
HTTP Digest Auth 外掛功能
使用 PHP header() 函數工作,不需要修改服務配置文件(如 .htaccess, ngin.conf 等)
支持每個WordPress用戶的HTTP憑證
當用戶從 WordPress 登出時,會清除HTTP Digest憑證 (有關這一點請參見問題解答)
確認 HTTP 和 WordPress 憑證是同一個用戶(這是默認行為,可以更改)
適用於所有主要Web服務器(在 Apache、Nginx 和 Lighttpd 上測試過)
外掛的使用行為
當您第一次啟用此外掛時,所有WordPress用戶將具有以下的摘要憑證
使用者名稱:
密碼:密碼
您可以從使用者 -> 您的個人資料中更改這個設定。
啟用後,您會在登出時被提示輸入 HTTP 憑證,並且如果您更改了您的 HTTP 用戶名或密碼,您也會在登出時被提示輸入該憑證。
可用的語言
英文
塞爾維亞克羅地亞語,由 Borisa Djuraskovic 翻譯
更多關於HTTP Digest Authentication Plugin官方說明頁面。
原文外掛簡介
This plugin adds an additional layer of protection for the wp-login.php page using HTTP Digest Authentication with the PHP header() function.
So it doesn’t require configuring web server files like .htaccess or .htdigest and works on all web hosting environments.
Important: If you already have a plugin which does HTTP Authentication please deactivate it before activating this plugin. Similarly if you have configured your web server to do HTTP authentication on the wp-login.php file please remove it before using this plugin.
If you are using FastCGI PHP this plugin may keep prompting for the credentials even if you enter the right pair, in this case use the following in your .htaccess file
SetEnvIfNoCase ^Authorization$ "(.+)" PHP_AUTH_DIGEST=$1
Advantages of HTTP Digest Authentication
Digest Authentication is very much safer than HTTP Basic Authentication whose credentials can be easily decoded with a base64 decoder.
From Wikipedia on HTTP Basic Authentication:
The BA (Basic Authentication) mechanism provides no confidentiality protection for the transmitted credentials. They are merely encoded with BASE64 in transit, but not encrypted or hashed in any way.
Digest Authentication on the other hand uses MD5 on the credentials making it “one way”
Uses server and client nonces to prevent replay attacks
Features of the HTTP Digest Auth plugin
Works using PHP header() function and doesn’t require modification of service config files (like .htaccess, nginx.conf etc)
Supports HTTP credentials for each WordPress user
Clears the HTTP Digest credentials when the user logs out of WordPress (more on this in the FAQ)
Verifies if both the HTTP and WordPress credentials are of the same user (this is the default behavior and can be changed)
Works on all major Web Servers (Tested on Apache, Nginx and Lighttpd)
Plugin Behavior
When this plugin is activated for the first time all WordPress users will have the following Digest credentials
Username:
Password: password
This can be changed from Users > Your Profile.
After activating this plugin for the first time you’ll be prompted for HTTP credentials when you logout
Similarly if you change your HTTP username or password you’ll be prompted for this when you logout
Available languages
English
Serbo-Croatian by Borisa Djuraskovic
The HTTP Digest Authentication Plugin official homepage.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「HTTP Digest Authentication」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
1.0 | 1.1 | 1.2 | 1.2.1 | trunk |
延伸相關外掛(你可能也想知道)
Exploit Scanner 》此外掛會搜尋你網站上的檔案,以及你資料庫中的文章和評論表格,尋找任何可疑的項目。它還會檢查你的作用中外掛清單是否有異常的檔案名稱。, 它不會刪除任何...。
Exploit Scanner for Active Theme 》搜尋活躍主題檔案,看看是否有任何跡象顯示它已成為惡意駭客的受害者。, 或使用此外掛程式作為驗證已安裝主題完整性的工具。。
Proxy Hacking Protection 》代理伺服器防護。, 防止因違法內容複製而導致搜尋結果減少。, 不正行為防範能力。。
Guard 》Guard是一款防止暴力攻擊的WordPress外掛。, 功能:, , 最大嘗試次數: 您可以選擇在使用者被阻擋之前該使用者可以嘗試登入的次數;, 鎖定: 防止使用者在嘗試次...。
BlogSafe Honeypot 》BlogSafe Honeypot 是我們的私人研究工具的「輕量級」版本。它的目的是追蹤兩種類型的信息:, , 失敗的 URL 請求。, 失敗的登錄嘗試。, , 通過分析 BlogSafe ...。
Two Factor Auth for WooCommerce 》這個外掛可以讓 WooCommerce 的登入表單與「Two Factor Auth 外掛」相容。它只需將一個一次性密碼欄位加入到 WooCommerce 的登入表單中。。
Glider – Universal Hacker Emblem 》這個外掛會在您的部落格上呈現官方的駭客標誌,讓您展現您和駭客的目標和價值觀的共鳴,以及他們的生活方式。您可以在側邊欄使用小工具,或者只需在文章和頁...。